Le rôle de l’autorisation dynamique dans la prévention des fraudes

20 juin 2022
-minutes de lecture
Headshot of Adam Rusbridge Ping Identitys Senior Product Manager
Adam Rusbridge
Chef de produit senior

Introduction

La pandémie a pris de court de nombreuses entreprises qui n’étaient pas préparées à passer rapidement des interactions en face à face à des opérations principalement numériques. Qu’il s’agisse des banques, des commerçants, des magasins d’alimentation ou des prestataires de santé, les organisations n’ayant pas mis en place de systèmes pour sécuriser l’accès des utilisateurs 24h/24 et 7j/7 depuis des appareils exposent leurs entreprises, leurs employés, leurs partenaires et leurs clients à des risques. D’après l’enquête 2021 de Ponemon, The Real Cost of Online Fraud, 61 % des personnes interrogées ont déclaré que leurs organisations n’avaient pas les bonnes technologies pour réduire les fraudes financières en ligne. 

 

Lors des premières étapes de leur transformation numérique, les entreprises ont eu du mal à s’adapter aux acteurs des nouveaux marchés proposant de meilleures expériences client, et elles ont commencé à perdre des parts de marché. Elles se sont aussi exposés elles-mêmes à des attaques par des acteurs malveillants. Les organisations utilisant le contrôle des accès basé sur les rôles (RBAC), une approche large qui était efficace quant les utilisateurs et les systèmes étaient sur site, ont constaté qu’elles avaient besoin d’une approche plus flexible et ont migré vers une solution de sécurité définie par l’identité, un contrôle des accès basé sur les attributs avec l’autorisation dynamique. Cette nouvelle approche associe le contrôle centralisé et le contexte au niveau de l’utilisateur pour prendre des décisions en temps réel.

Hi, I'd like to talk to you today about identity defined security.
Many leading global companies have unlocked huge value in identity and access management solutions.
But putting identity at the core of your security architecture, you can reduce the risk of stolen credentials, eliminating the number one threat of breach in the enterprise.
Centralized access control to remove security holes and improve compliance.
Protect your customers and employee identity data from end to end.
And enforce both corporate data access policy and user preferences for data privacy.
Most organizations today still rely on a perimeter based approach to security.
This is made up of both the physical walls of their office and a network firewall.
This made sense when all the users applications and identities were inside this perimeter and the bad guys were on the outside.
But today, users and their devices are mobile.
And many SaaS enterprise applications and services are in the cloud, making a perimeter based approach to security ineffective in securing the enterprise.
To make matters even worse, users authenticate with many passwords giving hackers a much larger surface area for attack.
Well there's a better way, the Ping Identity platform makes identity a security cornerstone with five key capabilities.
First, single sign-on gives all of your users, your employees, customers and partners single-click access to SaaS, cloud, and legacy apps.
SSO from Ping lets you authenticate your users once, no matter where they are with a single set of corporate credentials, eliminating all of those insecure passwords and giving your organization a single authentication authority.
But since most organizations still rely on passwords for their corporate credentials, they're still susceptible to breach.
Multi-factor authentication or MFA allows your enterprise to move beyond passwords with a great user experience.
As users sign on, policy is evaluated using contextual data to determine if step up authentication beyond a password is necessary.
If so, they're prompted for another factor.
This is highly configurable, including one time pass codes via SMS, email or voice or maybe a user is prompted for a fingerprint on their device.
With MFA, hackers are denied access even with a stolen password.
Okay, so now your users are securely authenticated, but not every user should have access to all applications.
The access security capability will give your organization a central policy driven access control layer for all enterprise apps, whether they're in the cloud or on premises.
As users make requests to applications or to API's through a mobile application for instance, contextual data and attributes such as the application page requested, time of the day, network, session status, group, etc.
are used to evaluate authorization policy at the application page or API level and determine whether access is granted or denied.
Another challenge that many organizations face is keeping their customer and employee identity data safe and secure.
Many times identity data is scattered across many unsecure data stores and directories.
The Ping directory consolidates and secures your sensitive identity data at all phases during capture, and transit, at rest, or during reporting and logging.
It does this without sacrificing performance or scale.
In addition, most organizations are required to govern who has access to what data.
For instance, when a partner requests customer data maybe to fill an order, you may need to protect social security numbers or credit card data.
The Ping data governance capability enforces both corporate policy and user privacy preferences for all requested data from partners, various corporate groups or other applications.
Ensuring your organization complies with all relevant industry, geographic, or corporate policies.
The Ping Identity platform makes identity the new perimeter, strengthening corporate security, and ensuring regulatory compliance without sacrificing user experience.
Thank you.

Comment l’autorisation dynamique améliore-t-elle le contrôle des accès basé sur les attributs (ABAC) ?

Le contrôle des accès basé sur les attributs (ABAC) renforce la sécurité en évaluant bien plus que le rôle de l’utilisateur pour prendre des décisions d’autorisation. Le contexte d’une demande d’accès fournit un aperçu plus détaillé de la situation. Par exemple, avec plus d’employés en télétravail, les entreprises doivent guetter les fraudeurs qui tentent de pénétrer dans leurs systèmes en utilisant les identifiants volés d’un utilisateur. En ajoutant des attributs pour prendre une décision d’autorisation, si cette tentative de connexion provient d’un autre pays, cette activité sera signalée.  

 

Ces attributs peuvent inclure :

 

  • Utilisateur (par ex., autorisation de sécurité ou âge)  

  • Ressource (par ex., type de ressource ou date de création) 

  • Contexte (par ex., emplacement ou moment dans la journée)

 

L’autorisation dynamique est la mise en place en temps réel d’une logique commerciale stricte liée à ce que les utilisateurs peuvent voir et faire, dans quel contexte et dans quel but.

Fonctionnement de l’autorisation dynamique

L’autorisation dynamique commence avec une application, comme une appli mobile, fournissant des données au système d’autorisation central qui identifie la nature de la demande. Parmi les exemples, on peut citer un client qui veut accéder à son compte de e-commerce ou un employé des RH qui veut accéder aux fichiers confidentiels d’un employé. Le système central d’autorisation se charge de récupérer les données supplémentaires nécessaires pour prendre la bonne décision. Cela peut inclure :

 

  • Rechercher plus de contexte dans un service d’annuaire, comme les rôles au sein de l’organisation ou les attributs utilisateur

  • Vérifier les services de risque des appareils basés sur le cloud

  • Évaluer les systèmes de fraude et de risque pour réactualiser le statut de risque actuel de l’utilisateur

     

Renforcer la confiance avec le contrôle des accès basé sur des politiques (PBAC)

L’autorisation dynamique s’appuie sur des politiques qui examinent plus qu’un seul attribut, comme par exemple un rôle (tel que le rôle de client ou d’employé des HR), et ajoute du contexte en évaluant de multiples attributs (par ex. l’heure, l’adresse IP ou le type de ressource) pour prendre une décision. Les politiques mises en place par une organisation orientent la décision d’autorisation pour chaque demande d’accès. Les actions de valeur élevée, notamment l’accès à des données sensibles ou un achat important, sont soumises à des politiques différentes de celles consistant à simplement consulter un site web commerçant. L’expérience utilisateur peut rester sans friction pour les situations à faible risque, mais des degrés de friction peuvent être ajoutés lorsque cela est nécessaire. Par exemple, si un client qui utilise rarement un site de vente en ligne essaye tout d’un coup de faire un achat s’élevant à 10 000 $, une authentification renforcée utilisant l’authentification multifacteur (MFA) peut être demandée pour s’assurer que le compte n’a pas été usurpé par un fraudeur.

 

Signaux de risque et fournisseurs de risques

Les organisations sont toujours sous pression pour trouver un équilibre entre la sécurité et les frictions pendant l’expérience utilisateur.  Une approche qui attire de plus en plus consiste à adapter l’expérience utilisateur en fonction du degré de confiance accordé à l’utilisateur.

 

Comment savoir si vous pouvez faire confiance à un utilisateur ? Les organisations utilisent en général de nombreuses sources de données et les signaux de risque pour savoir si accorder ou non un accès. Sur le temps, une relation de confiance se développe en utilisant des signaux provenant de fournisseurs externes au sujet des fraudes et des risques, ainsi que des informations sur l’utilisateur, son appareil et les actions qu’il souhaite réaliser. L’enrichissement des données à partir des fournisseurs de risques peut :

 

  • Réduire les taux de fraudes

  • Réduire le nombre de faux positifs

  • Éviter les vérifications manuelles et les rétrofacturations

  • Supprimer les frictions et augmenter les revenus

Une approche centralisée éloigne les politiques d’autorisation des décisions prises au niveau de l’application pour permettre aux équipes en charge des fraudes de répondre de manière cohérente et plus rapide à des questions dans l’ensemble de l’organisation. Les outils pour détecter les fraudes évoluent en permanence et les équipes en charge de la lutte contre les fraudes peuvent vérifier et ajouter les meilleurs signaux de risques de leur catégorie aux politiques lorsqu’ils sont identifiés.

Comment l’autorisation dynamique prévient-elle les fraudes ?

Une approche à plusieurs niveaux de la prévention des fraudes est toujours votre meilleure option, étant donné que les acteurs malveillants viennent avec de nouvelles manières de commettre des fraudes tous les jours.  

 

 

As more transactions move online, the cost of online fraud is rising, And fraudsters are getting smarter.
Fraud prevention needs to happen throughout the Customer journey, and it needs to be invisible to legitimate users.
If providers, our customers get it wrong, they risk losing trust.
Market share, and millions of dollars.
With the PingOne cloud platform, fraud detection starts at the first interaction and continues through the entire customer journey.
Fraud signals.
Lead into authentication and authorization Decisions to stop fraudsters from creating accounts, logging in, and completing transactions.
Enterprises can orchestrate multiple fraud signals to ensure that they prevent fraud, But don't create friction for real users.
The PingOne Cloud platform provides actionable intelligence throughout the user journey.
Detection begins before registration and continues through authentication by analyzing Dozens of signals to analyze.
Distinguish real users from bots and bad actors.
These signals help identify bot attacks, new account fraud, and account takeover.
The signals evaluate and mitigate fraud in real time, leveraging dynamic authorization to Safeguard transactions and sensitive data as known users sign on, The Penguin Cloud platform assesses risk and steps up authentication when needed.
Enterprises can even leverage identity verification.
I needed to confirm a user's actual identity.
Multiple fraud signals from Ping and beyond can be orchestrated, Stopping fraudsters in their tracks and delivering extraordinary experiences to real Customers.
Detect fraudulent activity as it happens.
Mitigate risk and shut down fraudsters before loss occurs.
Apply learnings and reinforce your defenses, all while legitimate users transact with ease and confidence.

 

 

Les fraudes peuvent survenir à n’importe quelle étape du parcours utilisateur. Développer des politiques fortes et identifier les signaux de risques pour réduire les activités frauduleuses fait partie de cette approche à plusieurs niveaux. En signalant en amont les activités suspectes lors de la création du compte, de la connexion au compte, des changements de profil, des tentatives de transaction, des tentatives pour accéder à des données sensibles et autres étapes du parcours utilisateur, les fraudes peuvent être évitées.

 

 

Dans le cadre d’une approche à plusieurs niveaux, certains pays ont pris des mesures supplémentaires pour éviter des fraudes. Au Royaume-Uni, la campagne nationale Take Five Stop-Challenge-Protect aide les gens à se protéger contre des fraudes financières pouvant être évitées, en les informant sur les emails trompeurs, les arnaques au téléphone, les fraudes en ligne, et en les alertant sur les tactiques utilisées par les délinquants qui prétendent être des organisations de confiance. La campagne se focalise notamment sur les arnaques au paiement push autorisé (APP), lorsqu’un délinquant piège un individu ou une entreprise pour qu’ils envoient un paiement irréversible vers un compte en banque contrôlé par le délinquant. Si une banque ayant établi une relation de confiance avec une personne vulnérable peut trouver une manière d’altérer l’expérience utilisateur, par exemple en demandant si la personne a reçu un appel téléphonique ou un email lui disant de faire la transaction, cette personne est incitée à arrêter avant d’envoyer son argent au fraudeur. 

Avantages supplémentaires de l’autorisation dynamique

Les avantages des politiques d’autorisation centralisée qui sont utilisées pour contrôler les accès en évaluant les attributs d’identité, les autorisations, les consentements et les informations contextuelles supplémentaires vont au-delà de la prévention des fraudes.

 

Confidentialité et conformité réglementaire

L’autorisation dynamique permet aux organisations de respecter les réglementations avec des filtres d’attributs et des mécanismes d’application du consentement concernant la confidentialité. La conformité au RGPD, au CCPA, au CDR et à d’autres réglementations signifie que les clients doivent avoir la visibilité et le contrôle sur leurs données. Sans un système d’autorisation centrale fournissant une vision unique des utilisateurs, les données utilisateurs en silo compliquent la gestion des consentements.

 

Personnalisation

Comprendre vos utilisateurs vous permet de personnaliser vos interactions avec eux. Au-delà de la personnalisation de l’accueil et des offres, les préférences personnelles peuvent également être utilisées pour prévenir les fraudes. Par exemple, le client d’une banque qui ne réalise aucune action par téléphone peut refuser cette option dans le profil de son compte, en empêchant un acteur malveillant de faire une transaction frauduleuse par téléphone. 

 

Prêt à mettre en place l’autorisation dynamique dans votre entreprise ?

Le paysage des fournisseurs de solutions évolue et change en permanence. La bonne approche est d’avoir plusieurs degrés de contrôle et les meilleurs modèles de risques de leur catégorie. Les organisations devraient chercher à trouver de l’agilité dans leurs solutions de prévention des fraudes.  

 

PingOne Authorize et PingAuthorize offrent aux entreprises l’agilité pour réagir instantanément sans sacrifier la sécurité ou la conformité aux réglementations. Ces outils fournissent les politiques d’autorisation centralisée qui évaluent le contexte d’une demande pour prendre des décisions intelligentes, tout en protégeant vos données, services, applications et API et en procurant à vos utilisateurs des expériences fluides.

Partager cet article:
Ressources connexes
Transformer la stratégie CIAM en un centre de profit dans les services financiers
3 juil. 2024
Transformez le CIAM en un centre de profit dans les services financiers pour offrir des expériences numériques fluides et sécurisées
Ping Identity Classé dans le 2023 Critical Capabilities Report
Dustin Maxey
1 déc. 2023
Ping Identity a été classé parmi les deux meilleurs fournisseurs dans chacun des quatre cas d’usage dans le rapport 2023 Gartner Critical Capabilites.

Lancez-vous dès Aujourd'hui

Contactez-Nous

sales@pingidentity.com

Découvrez comment Ping peut vous aider à offrir des expériences sécurisées aux employés, partenaires et clients dans un monde numérique en constante évolution.